Hallo Opnsense community,
ich habe ein etwas eigenartiges Problem.
OpnSense 19.7 als VM aufgesetzt.
Local IP: 192.168.1.210/24
Firewall zu Testzwecken komplett offen:
(https://s12.directupload.net/images/200616/temp/c4qbrmox.jpg) (https://www.directupload.net/file/d/5852/c4qbrmox_jpg.htm)
Ich komme per Telnet auch von meinem Client im selben Netz (192.168.1.153) auf Port 80 und 22 drauf:
(https://s12.directupload.net/images/200616/temp/zesfam9o.png) (https://www.directupload.net/file/d/5852/zesfam9o_png.htm)
Iptables FW am lokalen Client komplett offen, keine FW zwischen Client und OpnSense.
Jetzt zum eigentlich Problem:
Wenn ich an der opnsense mal mit nc einen listener start an einem belibigen Port, sagen wir mal 2000, dann komme ich nicht durch.
Opnsense Seite:
(https://s12.directupload.net/images/200616/temp/ddgxu35q.jpg) (https://www.directupload.net/file/d/5852/ddgxu35q_jpg.htm)
Ich komme ums Verrecken nicht von meinem Client auf den Port 2000 drauf. OpnSense FW log sagt aber OK:
(https://s12.directupload.net/images/200616/temp/9bv9qkz4.png) (https://www.directupload.net/file/d/5852/9bv9qkz4_png.htm)
TCPDUMP auf der opnsense sagt mir, dass was ankommt:
(https://s12.directupload.net/images/200616/temp/2ywgaxf7.jpg) (https://www.directupload.net/file/d/5852/2ywgaxf7_jpg.htm)
Das wars dann aber auch schon. Wenn ich via pfctl -f die FW abschalte in der OpnSense, dann klappt das ganze allerdings:
(https://s12.directupload.net/images/200616/temp/6dtgvrkw.png) (https://www.directupload.net/file/d/5852/6dtgvrkw_png.htm)
Alle anderen Settings der OpnSense sind im default mode, ich habe absolut keine Ahung mehr, wo ich noch suchen soll. Outbound NAT ist "Automatic outbound NAT rule generation"
Ich bin für jeden Tip dankbar.
VG
Killerloop
Was ist denn bitte genau dein Ziel, was willst du damit erreichen? Lädt denn wirklich was auf dem Port 2000?
Gesendet von iPhone mit Tapatalk Pro
Hi,
Sorry, ja das sieht jetzt auf den 1. und 2. Blick etwas fragwürdig aus was ich da mache.
Das Ziel war, einen openvpn server auf der opnsense laufen zu lassen.
Ich kam einfach nicht an Port tcp/1194 ran, obwohl lt. sockstat an tcp/1194 der Daemon lief.
Nach einigem hin und her und dem Abschalten der FW mit pfctl -d ging es plötzlich.
Zum testen, was da an der FW faul ist, habe ich mir halt mit nc nen Listener an port 2000 gebaut.
Man könnte jetzt auch einen telnet auf 1194 machen, stimmt, aber das Ergebnis bleibt dasselbe.
Weiterhin bin ich dankbar für jeden Hinweis.
Viele Grüße
Killerloop666
also, ich habe bei mir OpenVPN auf port 443 UDP laufen und einfach eine Firewall Regel auf dem WAN Interface gemacht. mehr nicht.
Hallo,
danke für die Antwort. Habe ich auch grade probiert, kein Erfolg. ISt Egal welche Port ich nehme. Es scheint da ein generelles Problem an der FW zu geben oder ich habe ein Setting übersehen, was bewirkt, das bei angeschalteter FW Pakete aus dem selben Netz (192.168.1.0724) in dem die FW selber auch ist, nicht beantwortet werden.
I still don't get it...
Killerloop666
Ich habe so manche komische Sachen in einer vom Feststellen können, probiere es doch mal auf echtem blech
Gesendet von iPad mit Tapatalk Pro
Und ohne mehr Details zur Konfig und mit abgeschnittenen Screens bei der man das Interface nicht sieht, wird man auch schlecht helfen können ;)
Hi,
was genau wäre denn von Belang, bzw. welche informationen müsste ich denn liefern ?
VG
Killerloop666
Quote from: micneu on June 16, 2020, 04:48:28 PM
Ich habe so manche komische Sachen in einer vom Feststellen können, probiere es doch mal auf echtem blech
Gesendet von iPad mit Tapatalk Pro
Hi,
@micneu: ja, das war der entscheidende Tip. Mal das ganze in einer Virtualbox hochgezogen, funzt.
Ich habe den Typ der virtuellen NIC auf "E1000" gestellt am ESXi cluster, jetzt funzt es. Du hattest recht, eine virtualisierte opnsense verhält sich echt manchmal sehr.... eigenartig. UnterHyperV kommt es im -zusammenspiel mit CARP auch zu sehr interessanten Effekten. Hätte ich auch eher drauf kommen können... aber naja, Wald vor lauter Bäumen und so... :-)
Danke an alle für Eure Antworten
Viele Grüße
Killerloop
Deshalb mag ich keine opnsense als vm.
Gesendet von iPad mit Tapatalk Pro
Ich hatte dazu auch schon mal was angemerkt, dass sich komischerweise opnsense in einer VM sehr anders verhält als bspw. Cousin pfsense obwohl beide nur grundinstalliert mit OpenVM Tools und vmxnet/paravirt default eingestellt eingerichtet wurden. Hatte da ebenfalls bei CARP und gerade IPv6 sehr sehr seltsame Phänomene die keiner klären konnte/wollte. Und VMware als Hypervisor ist ja nun nicht gerade so ungewöhnlich oder wenig verbreitet. Musste dann für die Testsetups auch auf e1000 und andere Settings ausweichen damit alles läuft, wundert einen aber trotzdem sehr.
Zumal sich die Sensen eben gerade für VMs anbieten, wenn man bspw. einen einzelnen Hypervisor irgendwo anmieten muss und den nicht nackt ans Netz stellen möchte. Aber vllt gibt sich das mit einer der nächsten Versionen dann endlich :)
Hallo,
ich betreibe die OpnSense als VM auf einem Proxmox Host und konnte bis dato kein "komisches Verhalten" feststellen. Auch ich betreibe hier einen OpenVPN. Falls du noch Fragen zur Firewall für eine Realisierung als VM hast, schreib mir ruhig. Ich versuche dir dann zu helfen.
Mfg,
jonsch